Bonjour, je débute dans la commutation et la création de Vlan.
Actuellment j'ai un seul réseau commun dans ma société mélangeant les accès administratifs et la partie formation ( salles de cours etc...)
Voila mon problème, je souhaite séparer et ce pour des raisons de sécurité mais aussi de qualité de service, ce réseau en 2 sous réseaux, une partie Réseau administratif (RA) et une autre Réseau Formation (RF). Ces 2 parties ne peuvent pas communiquer entre elles sauf cas particulier.
 
Je dois aussi dans ce cadre changer d'adressage car actuellement, ma société utilisait une adresse en 182....., et je souhaite passer en 10.2.0.0 donc je profite de cette séparation pour mettre en place dans la partie RF, le nouvel adressage en 10.2.0.0
 
Au niveau matériel, je possède en switch de distribution des switchs 3com 3812 et en backbone 2 switchs 3870 stackés. Les 3812 ne sont pas Layer 3 et les 3870 le sont.
J'ai 2 serveurs dhcp: 1 pour le réseau RF et l'autre pour le RA, la même chose pour le DNS
 
Autre contraintes:
J'ai un serveur commun sur les 2 réseaux, il possède 2 cartes réseaux, donc je pourrais le mettre en place sans problème sur les 2 réseaux.
Le gros problème est que j'ai un lien wan qui doit être accessible au 2 réseaux et actuellement mon routeur est configuré avec l'adressage RA en 182., le routeur sert de passerelle pour le réseau commun.
Sur mon routeur j'ai la possibilité de créer un Ip Alias, mais je ne sais pas trop comment le configurer après.
 
Donc je voudrais pour séparer les réseaux mettre en place des Vlans par port au niveau des switchs 3812 et 3870 et je souhaite que les 2 vlans puissent accèder à Internet sans problème.
 
Résumé:
 
- Réseau RF Ip: 10.2.1.0 à 10.2.3.254 masque: 255.0.0.0
- Réseau RA Ip: 182.100.0.0 à 182.100.20.0 masque 255.255.192.0 passerelle 182.100.0.1
 
 
Est ce qu'un expert en commutation peut m'aider?
 
Merci beaucoup
 
 

Sur ton routeur tu crée un ip alias sur le plan d'adressage de ton réseau en 10.x.x.x
(verifier qu'il route ensuite vers les deux réseaux internes)
 
Ensuite tu configures un port de ton switch qui appartiendra au deux VLAN et tu y branches ton routeur.
 
plus de détails si tu veux.

merci pour cette réponse rapide, je veux bien plus de détails su rla configuration.
Mon routeur a un seul port lan, qui vient se brancher sur le backbone. Bien sur il faudrait que je taggue le port sur les 2 vlans.
 
Est ce que j'ai besoin de faire de l'IP routing sur mon backbone?
 
Merci pour les infos supplémentaires.

Si tu mets ton routeur dans les deux Vlans pas besoin de routeur sur ton switch.
 
Ton routeur supporte il les vlan au fait?

Alors à priori il ne supporte pas, le tech que j'ai eu m'a indiqué d'utiliser un des ports DMZ et le configurer en 2ème port Lan ( c'est possible sur mon routeu) et ensuite je relie ce LAn sur le 2ème sous réseau.
 
je vais tester cela demain.
Merci

huum c'est quoi comme routeur?
 
Ok pour le dmz, mais tout va passer par le même lien sans segmentation et en plus par défaut une adresse DMZ sur un routeur = tout le trafique redirigé par là...

En fait sur ce routeur c'est zywall 70 de zyxel, j'ai la possibilité de configurer un de mes ports DMZ en port lan. Donc cela va me permettre d'avoir 2 ports Lan, 1 avec l'adressage en 182 et l'autre avec l'adressage en 10.2.x.x.
 
Voila

Tu as donc plusieurs ports LAN.
 
C'est simplissime alors. Ton routeur sera connecter via 2 cables à ton switch (exactement comme si il y avait deux switch distinct en fait).

A ta place je créer 3 Vlan  
- RF
- RA
- Informatique (qui contient tous les serveurs, adresse d'admin des switchs, routeurs...)
 
Et tu joues avec les routes de tes 3870 pour que tes RF et RA aient accès aux serveurs et routeurs internet.
De plus pourquoi avoir deux serveurs DHCP quand un seul suffit ?
Regarde si tes 3870 savent faire du relais DHCP, cela sera très pratique !
Attention aussi aux effets de bord. Par exemple lorsqu'une station Windows veut se logger sur un serveur Windows elle fait une recherche en faisant un broadcast, hors ton routage va bloquer ce broadcast et ta machine n'arrivera pas à se logguer.
Sur les équipement Cisco on utilise un "IP-Helper address" qui permet donc de renvoyer les broadcast à une ou plusieurs machine (dont tes serveurs DHCP et Domaine windows.

Oui l'objectif final sera de diviser mon réseau en plusieurs sous réseaux, mais cela signifie beaucoup de changement d'un coup et c'est pour cela que j'ai divisé cela en plusieurs étapes.
La première étant celle dont je vous ai parlé sur ce sujet qui me permet d'isoler la partie formation de la partie administratif.
Etant donné que je change l'adressage, qui n'est pas une chose facile à faire, étant donné que nous avons toujours de l'activité sur notre site, je mets en place un 2ème DHCP dédié a la partie Formation.
Mais bien sur la finalité sera d'en avoir qu'un seul sur le réseau.
 
De même je ne maitrise pas encore la conf sur les switchs 3870 au niveau du routage.
 
Donc c'est pour cela que je préfère commencer ma segmentation de la sorte.
 
Merci pour vos conseils

Bonjour et merci pour votre contribution, j'ai réussi à séparer mes 2 sous réseaux et mon lien wan.
Par contre j'ai un souci au niveau de l'impression, en effet j'ai des imprimantes réseaux qui doivent être accessible sous les 2 sous réseaux et je n'ai pas la possibilité de rajouter une 2ème carte réseau sur ces imprimantes.
 
J'ai un serveur d'impression qui possède 2 cartes réseaux ( 1 sur le Vlan 1 et l'autre sur le Vlan 2 et je pensais que mes pcs allaient pouvoir imprimer sans problèmes étant donné que le serveur est est sur les 2 vlans avec 2 interfaces différentes, mais ce n'est pas le cas.
 
Avez-vous une solution pour résoudre ce problème?
 
Merci encore

J'ai réussi à résoudre mon problème en mettant sur mes imprimantes l'adressage du Vlan 2 RF soit en 10.2.x.x et en les rajoutant sur le serveur d'impression. Mes imprimantes sont accessibles sur les 2 vlans en utilisant le serveur d'impression.
 
Par contre j'ai une question concernant l'étancheité de mes vlans, en effet j'ai plusieurs serveurs avec 2 cartes réseaux, chaque carte est configurée sur un vlan approprié, par contre j'ai constaté que par exemple en utilisant le bureau à distance ( mstsc), sur le Vlan 2 RF, on accède au serveur via la patte qui est sur le même Vlan et ensuite on peut accèder à l'autre sous réseaux et donc aux autres serveurs....
 
Est ce qu'il y a moyen de bloquer cela? Je sais qu'il faudra que je trouve une autre solution pour les impressions, mais bon je prefere garantir la sécurité et donc l'étancheité de mes vlans avant tout.
 
Voila donc vous avez des infos je suis preneur. Merci

il faudrait mettre un firewall entre tes serveurs et ton Vlan RF (celui qui te fait peur je suppose) pour ainsi controler entièrement le traffic.